Ransomware gijzelt computers meerdere Nederlandse bedrijven

Volgens de NOS blijkt uit een vertrouwelijk rapport van het Nationaal Cyber Security Centrum (NCSC) dat er meerdere Nederlandse bedrijven zijn getroffen door geavanceerde ransomware.

Een woordvoerder van het NCSC heeft aan NOS bevestigd dat er onderzoek is gedaan naar ransomware-aanvallen in het buitenland.

In het rapport staat niet om hoeveel bedrijven het gaat. Wel is bekend dat het internationaal meer dan 1800 bedrijven getroffen zijn door ransomware. Volgens het NCSC is een klein deel van deze bedrijven Nederlands.

Wanneer er ransomware op een computersysteem terecht komt worden bestanden versleuteld en moet de eigenaar geld betalen aan de hackers om weer toegang te krijgen.

Op het moment dat bedrijven de hackers achter de ransomware niet betalen kunnen ze alsnog grote verliezen lijden, omdat processen stil komen te liggen.

Het NCSC vermoedt dat de hackers achter de ransomware toegang hadden tot zero-day-kwetsbaarheden. Dit zijn beveiligingslekken in software die niet bekend zijn bij de ontwikkelaar van de software, waardoor kwaadwillende hackers ongestoord hun gang kunnen gaan tot het lek ontdekt wordt.

Wanneer een bedrijf wordt getroffen door ransomware worden er soms miljoenen euro’s betaald om weer toegang te krijgen tot de systemen.

Volgens het rapport komt dit ook voor in Nederland. In sommige gevallen kon het NCSC bedrijven waarschuwen voordat de ransomware werd geactiveerd.

Wie er achter de ransomware zit is niet bekend. Wel verwacht het NCSC dat dit soort aanvallen zullen blijven gebeuren, omdat het zeer winstgevend is.

Het is niet de eerste keer dat bekend wordt dat Nederlandse bedrijven doelwit zijn van ransomware. In 2017 werd de haven van Rotterdam getroffen door ransomware, waardoor de containerterminals stil kwamen te liggen.

Gebruikers Microsoft overtreden volgens Europese Toezichthouder Gegevensbescherming privacywet

Overheden die gebruik maken van diensten van Microsoft vertreden volgens de Europese Toezichthouder voor gegevensbescherming (EDPS) de privacywet. De privacywaakhond schrijft dat in een persbericht.

De EDPS schrijft dit bericht naar aanleiding van een lopend onderzoek naar de risico’s voor de privacy van Europese burgers als overheidsinstellingen diensten van Microsoft gebruiken.

De voorlopige conclusie van de toezichthouder is dat de contracten tussen Microsoft en overheidsinstellingen de gegevensbescherming van Europese burgers onvoldoende waarborgen.

De toezichthouder haalt hierbij een onderzoek aan uit juni 2019 van het Nederlandse ministerie van Justitie en Veiligheid. Hieruit bleek dat verschillende Microsoft-producten te veel data verzamelden van gebruikers.

Microsoft heeft daarop de nodige aanpassingen moeten aanbrengen in hun software. Het ging hierbij om Windows 10 en Microsoft Office.

De EDPS schrijft dat overheidsinstellingen in andere lidstaten hier ook scherp op moeten zijn en ze door het gebruik van de software van Microsoft mogelijk nog niet voldoen aan de privacywetgeving.

Om de privacy van Europese burgers beter te beschermen heeft de EDPS een forum opgericht waar lidstaten kunnen overleggen over het gebruik van software.

Samsung alarm: „Wis alle vingerafdrukken van Galaxy-telefoons“

Samsung raadt de gebruikers van de smartphones Galaxy Note10, 10+ en Galaxy S10, S10+, en S10 5G aan om alle geregistreerde digitale vingerafdrukken te verwijderen en ze opnieuw te registreren, aldus het bedrijf in een persbericht.

Samsung kampt met een veiligheidsprobleem bij het identificatiesysteem, waardoor de toestellen ook door iemand anders ontgrendeld kunnen worden.

Het probleem is gelinkt aan bepaalde screenprotectors in siliconen, die de vingerafdruksensoren verstoren, legt Samsung uit.

Het bedrijf roept op om die beschermers niet meer te gebruiken tot de software geüpdatet wordt. Die update zou begin volgende week plaatsvinden.

Naast het ontgrendelen van het scherm, kunnen door de softwarefout derden ook betalingen uitvoeren met de smartphone.

Het probleem raakte begin deze week bekend, toen de eigenares van een Samsung Galaxy S10 in de Britse krant The Sun zei dat haar smartphone door iemand anders kon ontgrendeld worden als ze een schermbescherming gebruikte.

Samsung is de grootste speler op de smartphonemarkt. Het Koreaanse bedrijf noemde zijn nieuwe vingerafdrukkensensor bij de lancering ‘revolutionair’.

Het is niet de eerste keer dat de Koreanen problemen ondervinden met topproducten. In 2016 werd de Galaxy Note 7 wereldwijd teruggeroepen, nadat bij verschillende toestellen de batterij was ontploft.

En eerder dit jaar moest Samsung de lancering van de Galaxy Fold, een van de eerste twee toestellen met een plooibaar scherm, uitstellen vanwege de fragiliteit van het scherm.

Er kan een spion in de laadkabel van je smartphone verstopt zitten

Je bent onderweg en moet een dringend telefoontje plegen of een mailbericht beantwoorden. Probleem. Je accu is bijna leeg en je hebt je laadstekker niet bij je. Wat doe je?

De meeste mensen vragen dan aan iemand in de buurt of ze even hun laadkabel mogen gebruiken. Vaak mag dat. De smartphone wordt soms afgegeven en kan dan achter een balie bij een bedrijf, restaurant of hotel, worden opgeladen terwijl jij iets anders doet.

Los van het risico dat je smartphone dan onbeheerd op een onbekende plek ligt komt er sinds kort een nieuw risico bij. Is de laadkabel van die vriendelijke wildvreemde persoon die je helpt wel veilig?

Een anonieme veiligheidsonderzoeker die actief is op Twitter onder de naam MG bracht enkele tientallen iPhone oplaadkabels naar een hackersconferentie in Las Vegas en verkocht ze voor 200 dollar per stuk. De kabels waren binnen enkele dagen uitverkocht, de hackers betaalden bereidwillig 190 dollar meer dan in de winkel. Omdat MG de originele Apple kabels dusdanig had aangepast dat niet te zien viel dat er mee geknoeid was.

Als je zo’n kabel op een Apple computer aansluit, kun je je je iPhone er gemakkelijk mee opladen. Maar tegelijkertijd opent de chip die MG in de USB-stekker heeft gesoldeerd een verborgen draadloos netwerk. De hacker kan dankzij die chip eenvoudig de scherminhoud van de Mac zien, muisbewegingen en toetsenbordgegevens lezen of spionagesoftware installeren.

De hacker noemt zijn kabels OMG-kabels. De afkorting voor “Oh, mijn God!”) en gaf in het vakblad “Vice Motherboard” aan dat hij de aanpassingen voor iedere een USB-kabel kan maken. Ook voor Android toestellen. De Apple kabels zijn het moeilijkst, alle andere zijn makkelijker aan te passen.

De kans is groot dat het voorbeeld van MG gekopieerd wordt of al is door kwaadwillige hackers. En door buitenlandse inlichtingendiensten.

Hackers kunnen dankzij privacywet heel eenvoudig jouw gegevens opvragen bij bedrijven

Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?

Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.

Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.

Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.

Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.

In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.

In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.

Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.

De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”

Wie controleert of anderen mailberichten openen overtreedt mogelijk de privacywet

Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).

DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.

Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.

De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.

Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.

Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.

“Medewerkers Apple luisteren via Siri op iPhone mee tijdens seks en medische gesprekken”

De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.

Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.

The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.

Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.

Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.

In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.

In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.

Sites met Facebook Like button overtreden privacywet volgens Europese Hof van Justitie

Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.

Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.

Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.

Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.

Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.

De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.

Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.

Consequenties voor meer Europese sites

Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.

Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.

Sites met Facebook Like button overtreden privacywet volgens Europese Hof van Justitie

Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.

Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.

Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.

Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.

Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.

De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.

Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.

Consequenties voor meer Europese sites

Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.

Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.

Datalek bij gemeente Hellevoetsluis

De gemeente Hellevoetsluis heeft documenten met daarin onder meer burgerservicenummers (BSN’s), woonadressen en telefoonnummers van inwoners gelekt. De gemeente heeft berichtgeving daarover door RTL Nieuws bevestigd.

Hoeveel inwoners zijn getroffen, is onduidelijk. Volgens RTL Nieuws zijn er
21.000 documenten gelekt. Het systeem waarin de documenten zijn verwerkt wordt al sinds 2001 door Hellevoetsluis gebruikt.
De documenten met gevoelige gegevens werden per ongeluk door ambtenaren openbaar gezet, waardoor de persoonsgegevens via Google vindbaar waren.

Inmiddels zijn de data ook niet meer via Google vindbaar, aldus RTL Nieuws.

De gemeente Hellevoetsluis heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens (AP), aldus de woordvoerder. De gemeente onderzoekt nu welke stappen zij verder als gevolg van het datalek moet nemen.

RDW doet aangifte bij politie wegens illegale handel in kentekengegevens

De Rijksdienst voor het Wegverkeer (RDW) met heeft aangifte gedaan bij de politie wegens illegale handel in privégegevens van Nederlandse automobilisten. Dat heeft de RDW gedaan na berichtgeving door RTL Nieuws.

De RDW verzorgt de uitgifte van alle kentekens voor auto’s, motoren, bromfietsen en boten in Nederland. De dienst heeft vestigingen in Groningen en Veendam.

Volgens RTL is het mogelijk om via internet aan de hand van een kenteken te laten uitzoeken wie de eigenaar van een voertuig is. Dat zou 50 tot 150 euro kosten. Het aanbieden van deze gegevens is echter in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Het achterhalen van de eigenaar achter een kenteken kan op verschillende manieren worden misbruikt, melden experts aan RTL Nieuws. Zo kunnen dieven bijvoorbeeld de eigenaren van dure auto’s op de parking bij Schiphol achterhalen, zodat ze weten dat die mensen op vakantie zijn. Daarna kunnen ze inbreken bij hun huis. Ook kan de informatie gebruikt worden voor lastigvallen en intimidatie.

‘Meerdere keren per week’

De handvol accounts die nu actief zijn in het aanbieden van persoonsinformatie achter kentekens, zeggen tegen RTL Nieuws dat ze dat meerdere keren per week doen.

RDW weet nog niet hoe kwalijk de praktijk is: ‘We moeten eerst uitzoeken wat er precies gebeurt, of deze mensen de informatie rechtstreeks uit de RDW-registers halen.’

Ook andere organisaties hebben toegang

De RDW is niet de enige instelling die toegang heeft tot het kentekenregister. De politie, de Belastingdienst, het Centraal Justitieel Incassobureau en gemeenten kunnen de gegevens ook zien.

De RDW beheert 11,5 miljoen Nederlandse kentekens. Het registreert niet alleen de technische gegevens van het voertuig, maar ook de naam, adres en woonplaats van de eigenaar.

In het register staan alle voertuigen in Nederland die een kenteken moeten hebben. Dat zijn auto’s, bestelbussen, vrachtauto’s, bussen, bromfietsen, motoren, aanhangers, caravans, vrachtwagenopleggers en snorfietsen.

Fraudehelpdesk krijgt tik op de vingers van Autoriteit Persoonsgegevens

De Fraudehelpdesk mag niet langer de persoonsgegevens van tipgevers die e-mails en andere berichten met phishing naar hen sturen verzamelen. Dat heeft de Autoriteit Persoonsgegevens (AP) dinsdag aan de NOS verteld.

De Fraudehelpdesk ontving iedere maand tussen de 80.000 en 100.000 tips over phishingmails. Deze tips werden gebruikt om phishingcampagnes en andere online oplichtacties in beeld te brengen.

Maar de Fraudehelpdesk verwerkt dankzij alle tips ook meteen persoonsgegevens van tipgevers. Het gaat dan vooral om namen, adresgegevens en e-mailadressen van de afzenders. Dat mag volgens de AP niet.

Volgens de AP heeft de organisatie haar “huiswerk niet op orde”.

De Autoriteit Persoonsgegevens weigert daarom om de Fraudehelpdesk een vergunning voor de gegevensverwerking te verlenen. Die vergunning is vereist omdat phishingmails strikt gezien strafrechtelijke gegevens bevatten.

De helpdesk kon volgens de AP niet goed duidelijk maken waarom persoonsgegevens verwerkt moesten worden.

Het is nog wel toegestaan om tips naar de Fraudehelpdesk te sturen. Niets in die tips mag echter terug te leiden zijn naar een persoon. Ook mag de helpdesk niet meer doorvragen om meer informatie te bemachtigen.